この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
このドキュメントの目的のために、ISO 12100 および以下に記載されている用語と定義が適用されます。
ISO と IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1
ウイルス対策ツール
悪意のあるコードを検出し、システムへの感染を防ぎ、システムに感染した悪意のあるコードを削除するために使用されるソフトウェア
3.2
攻撃
システム サービス、リソース、または情報への不正アクセスを試みる
[ソース: CNSSI-4009, 変更 — 「..、またはシステムの完全性、可用性、または機密性を侵害する試み」は、定義の末尾で削除されました。]
3.3
認証
多くの場合、情報システム内のリソースへのアクセスを許可するための前提条件として、ユーザー、プロセス、またはデバイスの身元を確認する
[出典: NIST SP 800-53]
3.4
認可
システム リソースにアクセスするためにシステム エンティティに付与される権利または許可
[ソース: RFC 4949]
3.5
守秘義務
許可された制限を維持し、情報への 不正アクセス (3.18) を防止する
3.6
暗号化
知られたり使用されたりするのを防ぐために、データの本来の意味を隠す形式へのデータの変換
注記 1:変換が可逆的である場合、対応する反転プロセスは「復号化」と呼ばれ、暗号化されたデータを元の状態に復元する変換です。
[ソース: RFC 4949, 変更 — 「暗号化」という単語は「データの変換」の前に削除され、「(「平文」と呼ばれる)」はその後削除されました。 「form」以降の「(通称「暗号文」)」を削除。 2 番目のセンテンスは、エントリの注 1 に移動されました。]
3.7
ファイアウォール
接続された 2 つのネットワーク間のデータ通信トラフィックを制限するソフトウェア。
注記 1:ソフトウェアがファイアウォールを実行する特定のハードウェアを指定することも一般的です。
3.8
インテグレータ
統合された製造システムを設計、提供、製造、または組み立て、保護手段、制御インターフェース、および制御システムの相互接続を含む安全戦略を担当するエンティティ。
注記 1:インテグレーターは、製造業者、組立業者、エンジニアリング会社、またはユーザーである場合があります。
[出典: ISO 11161:2007, 3.10]
3.9
威厳
情報の不適切な変更または破壊を防ぐための条件
3.10
IT セキュリティ
情報技術のセキュリティ
サイバーセキュリティ
攻撃 (3.2) またはハードウェア、ソフトウェア、または情報の損傷からの IT システムの保護、および提供するサービスの中断または誤指示からの IT システムの保護
3.11
IT セキュリティ インシデント
ITシステムの 機密性 (3.5) 、 完全性 (3.9) 、または可用性を実際にまたは潜在的に危険にさらす発生
3.12
機械制御システム
機械要素の部品、オペレータ、外部制御装置、またはこれらの任意の組み合わせからの入力信号に応答し、意図した方法で機械を動作させる出力信号を生成するシステム。
注記 1:機械制御システムは、任意の技術または異なる技術の任意の組み合わせを使用できます (例: 電気/電子、油圧、空気圧、機械)
[出典: ISO 13849-1:2015, 3.1.32]
3.13
パスワード
ID の認証またはアクセス 許可の検証に使用される文字列 (文字、数字、およびその他の記号) (3.4)
3.14
リモートアクセス
情報システムのセキュリティ境界に対して外部と通信するユーザー (または情報システム) によるアクセス
[出典: NIST SP 800-53]
3.15
リスク低減策
保護措置
危険を排除するかリスクを軽減するための行動または手段
[出典: ISO/IEC Guide 51:2014, 3.13]
3.16
スマートマニュファクチャリング
製品やサービスを作成および提供するために、サイバー、物理、および人間の領域でプロセスとリソースを統合的かつインテリジェントに使用することでパフォーマンスの側面を改善し、企業のバリューチェーン内の他のドメインとも協力する製造業
グレード 1 ~ エントリ:パフォーマンスの側面には、俊敏性、効率性、安全性、セキュリティ、持続可能性、または企業によって特定されたその他のパフォーマンス指標が含まれます。
注記2:製造に加えて、他の企業ドメインには、エンジニアリング、ロジスティクス、マーケティング、調達、販売、または企業によって特定されたその他のドメインが含まれる場合があります。
3.17
脅威
機械の操作に悪影響を与える可能性のある IT セキュリティ インシデント (3.11)
3.18
不正アクセス
IT システムの所有者が意図しない論理的または物理的アクセス
3.19
脆弱性
脅威(3.17) によって悪用またはトリガーされる可能性のあるITシステムのセキュリティにおいて
参考文献
| [1] | ISO/IEC Guide 51:2014, 安全面 — 規格に含めるためのガイドライン |
| [2] | ISO 11161:2007, 機械の安全性 - 統合製造システム - 基本要件 |
| [3] | ISO 13849-1:2015, 機械の安全性 — 制御システムの安全関連部品 — 1: 設計の一般原則 |
| [4] | ISO/IEC 20924-2、情報技術 — モノのインターネット (IoT)— 定義と語彙 |
| [5] | IEC/TS 62443-1-1, 産業用通信ネットワーク - ネットワークおよびシステム セキュリティ - 1: 用語、概念、およびモデル |
| [6] | IEC 62443-3-2: — 3、産業オートメーションおよび制御システムのセキュリティ — 3-2: セキュリティリスク評価とシステム設計 |
| [7] | IEC 62443-3-3, 産業用通信ネットワーク — ネットワークおよびシステム セキュリティ — 3-3: システムのセキュリティ要件とセキュリティレベル |
| [8] | IEC 62443-4-2, 産業用通信ネットワーク — 産業オートメーションおよび制御システムのセキュリティ — 4-2: IACS コンポーネントの技術的セキュリティ要件 |
| [9] | CENELEC Guide 32:低電圧機器の安全関連のリスク評価とリスク低減のためのガイドライン |
| [10] | 製造産業用制御システムを保護するための機能評価、ドラフト 2016 年 11 月、https://nccoe.nist.gov/sites/default/files/library/project-descriptions/mf-ics-1-project-description-draft.pdf |
| [11] | CNSSI-4009, 国家安全保障システム委員会 (CNSS) 用語集、2015 年 4 月、米国 https://cryptosmith.files.wordpress.com/2015/08/glossary-2015-cnss.pdf |
| [12] | FIPS 200, 連邦情報および情報システムの最小セキュリティ要件、連邦情報処理標準発行、2006 年 3 月、米国 http://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.200.pdf |
| [13] | NIST SP 800-53 、連邦情報システムおよび組織のセキュリティとプライバシー管理、改訂 4, 2013 年 4 月 http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf |
| [14] | NIST SP 800-61, コンピューター セキュリティ インシデント処理ガイド、改訂 2, 2012 年 8 月 http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf |
| [15] | NIST SP 800-82, 産業用制御システム (ICS) セキュリティのガイド、改訂 2, 2015 年 5 月。 |
| [16] | RFC 4949, インターネット セキュリティ用語集、バージョン 2, 2007 年 8 月 |
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 12100 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1
antivirus tool
software used to detect malicious code, prevent it from infecting a system, and remove malicious code that has infected the system
3.2
attack
attempt to gain unauthorized access to system services, resources, or information
[SOURCE: CNSSI-4009, modified — “.., or an attempt to compromise system integrity, availability, or confidentiality” has been deleted at the end of the definition.]
3.3
authentication
verifying the identity of a user, process, or device, often as a prerequisite to allowing access to resources in an information system
[SOURCE: NIST SP 800-53]
3.4
authorization
right or permission that is granted to a system entity to access a system resource
[SOURCE: RFC 4949]
3.5
confidentiality
preserving authorized restrictions on, and preventing unauthorized access (3.18) to information
3.6
encryption
transformation of data into a form that conceals the data’s original meaning to prevent it from being known or used
Note 1 to entry: If the transformation is reversible, the corresponding reversal process is called “decryption,” which is a transformation that restores encrypted data to its original state.
[SOURCE: RFC 4949, modified — The word “cryptographic” has been deleted before “transformation of data” and “(called “plaintext”)” deleted afterwards; “(called “ciphertext”)” has been deleted after “form”. The second sentence has been moved to Note 1 to entry.]
3.7
firewall
software that restricts data communication traffic between two connected networks.
Note 1 to entry: It is also common to name specific hardware in which the software runs a firewall.
3.8
integrator
entity who designs, provides, manufactures or assembles an integrated manufacturing system and is in charge of the safety strategy, including the protective measures, control interfaces and interconnections of the control system
Note 1 to entry: The integrator can be a manufacturer, assembler, engineering company or the user.
[SOURCE: ISO 11161:2007, 3.10]
3.9
integrity
condition of guarding against improper modification or destruction of information
3.10
IT-security
Information Technology security
cyber security
protection of an IT-system from the attack (3.2) or damage to its hardware, software or information, as well as from disruption or misdirection of the services it provides
3.11
IT-security incident
occurrence that actually or potentially jeopardizes the confidentiality (3.5) , integrity (3.9) , or availability of an IT-system
3.12
machine control system
system which responds to input signals from parts of machine elements, operators, external control equipment or any combination of these and generates output signals causing the machine to behave in the intended manner
Note 1 to entry: The machine control system can use any technology or any combination of different technologies (e.g. electrical/electronic, hydraulic, pneumatic, mechanical).
[SOURCE: ISO 13849-1:2015, 3.1.32]
3.13
password
string of characters (letters, numbers, and other symbols) used to authenticate an identity or to verify access authorization (3.4)
3.14
remote access
access by users (or information systems) communicating external to an information system security perimeter
[SOURCE: NIST SP 800-53]
3.15
risk reduction measure
protective measure
action or means to eliminate hazards or reduce risks
[SOURCE: ISO/IEC Guide 51:2014, 3.13]
3.16
smart manufacturing
manufacturing that improves its performance aspects with integrated and intelligent use of processes and resources in cyber, physical and human spheres to create and deliver products and services, which also collaborates with other domains within enterprises’ value chains
Note 1 to entry: Performance aspects include agility, efficiency, safety, security, sustainability or any other performance indicators identified by the enterprise.
Note 2 to entry: In addition to manufacturing, other enterprise domains can include engineering, logistics, marketing, procurement, sales or any other domains identified by the enterprise.
3.17
threat
any IT-security incident (3.11) with the potential to adversely impact machinery operations
3.18
unauthorized access
any logical or physical access which is not intended by the owner of an IT-system
3.19
vulnerability
weakness in the security of an IT-system that can be exploited or triggered by a threat (3.17)
Bibliography
| [1] | ISO/IEC Guide 51:2014, Safety aspects — Guidelines for their inclusion in standards |
| [2] | ISO 11161:2007, Safety of machinery — Integrated manufacturing systems — Basic requirements |
| [3] | ISO 13849-1:2015, Safety of machinery — Safety-related parts of control systems — 1: General principles for design |
| [4] | ISO/IEC 20924 2,Information technology — Internet of Things (IoT)— Definition and vocabulary |
| [5] | IEC/TS 62443-1-1, Industrial communication networks – Network and system security — 1: Terminology, concepts and models |
| [6] | IEC 62443-3-2:— 3,Security for industrial automation and control systems — 3-2: Security risk assessment and system design |
| [7] | IEC 62443-3-3, Industrial communication networks — Network and system security — 3-3: System security requirements and security levels |
| [8] | IEC 62443-4-2, Industrial communication networks — Security for industrial automation and control systems — 4-2: Technical security requirements for IACS components |
| [9] | CENELEC Guide 32: Guidelines for Safety Related Risk Assessment and Risk Reduction for Low Voltage Equipment |
| [10] | Capabilities Assessment for Securing Manufacturing Industrial Control Systems, Draft Nov 2016, https://nccoe.nist.gov/sites/default/files/library/project-descriptions/mf-ics-1-project-description-draft.pdf |
| [11] | CNSSI-4009, Committee on National Security Systems (CNSS) Glossary, April 2015, USA https://cryptosmith.files.wordpress.com/2015/08/glossary-2015-cnss.pdf |
| [12] | FIPS 200, Minimum Security Requirements for Federal Information and Information Systems, Federal Information Processing Standards Publication, March 2006, USA http://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.200.pdf |
| [13] | NIST SP 800-53, Security and Privacy Controls for Federal Information Systems and Organizations, Revision 4, April 2013 http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf |
| [14] | NIST SP 800-61, Computer Security Incident Handling Guide, Revision 2, August 2012 http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf |
| [15] | NIST SP 800-82, Guide to Industrial Control Systems (ICS) Security, Revision 2, May 2015. http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-109 82r2.pdf |
| [16] | RFC 4949, Internet Security Glossary, Version 2, August 2007 |